Investigador publica código de exploit que aprovecha vulnerabilidad en Android
El investigador de seguridad M.J. Keith de Alert Logic ha presentado un código como “prueba-de-concepto” mediante el cual se explota una vulnerabilidad presente en Android. El código en cuestión deja ver que la plataforma móvil de Google no implementa parches de manera adecuada. En lugar de encontrar un bug de manera nativa, Keith ha buscado flaws de Safari, que comparte el motor Webkit del navegador Android. De hecho, ha comentado que el ataque ha tenido éxito en dos de cada tres móviles que han sido probados.
En palabras de Keith: “Necesitan un mejor sistema de parcheo [...] Hacen un buen trabajo reparando versiones futuras, pero creo que es neceario un mejor sistema de parcheo en Android“.
El bug que explota el código de Keith fue subsanado en Android 2.2, sin embargo sólo el 36% de los usuarios disponen de esa versión en sus terminales. Ello quiere decir que el resto sigue estando afectado por el mismo. De hecho Keith ha comentado que tampoco le ha costado trabajo encontrar bugs explotables en Android 2.2, ya que ha comentado que sin mucho esfuerzo encontró 4/5.
Esta noticia llega a colación de la que os comentamos hace unos días, en la que se comentó que el kernel Android disponía de 88 vulnerabilidades graves.
[...] os informamos de 88 vulnerabilidades críticas en el kernel de Android 2.2 Froyo, algunas de ellas ya explotadas, y la compañía de Mountain View no suele parchearlas de manera individual, sino que lo hace en [...]